Al momento sei offline in attesa che la connessione Internet venga ristabilita

Eventi di protezione per l'associazione degli eventi di accesso account di servizio

Il supporto per Windows XP è terminato

Il supporto Microsoft per Windows XP è terminato l Ulteriori informazioni su come continuare a essere protetti.

Questo articolo è stato precedentemente pubblicato con il codice di riferimento I274176
Sommario
In Windows 2000 e nelle versioni precedenti non è possibile associare un evento di accesso account (ID evento di protezione 528) a un evento di creazione di processo per molti processi, quali ad esempio i servizi. Tuttavia un amministratore può utilizzare l'ID di evento di protezione 600, incluso in Windows XP, per eseguire questa associazione. In questo articolo viene illustrato come interpretare il registro degli eventi di protezione in modo da capire questi eventi.
Informazioni
Se si sta eseguendo il controllo di eventi di accesso account, eventi di accesso e tracciati dei processi, ogni volta che un servizio verrà avviato da un account utente, verranno registrati i seguenti eventi:
  • Richiesto ticket Kerberos
    (Accesso account 672)
  • Rinnovato ticket Kerberos
    (Accesso account 673)
  • Accesso dell'account
    (Accesso/Fine sessione 528)
  • Avvio elaborazione servizio
    (Analisi dettagliata 592)
  • Account che ha avviato il servizio connesso
    (Analisi dettagliata 600)
Gli eventi di esempio riportati di seguito si verificano quando il servizio Registrazione licenze viene avviato utilizzando un account di dominio.

Richiesto ticket Kerberos

Tipo evento:  Operazioni riusciteCausa evento:  ProtezioneCategoria evento:  Accesso account ID evento:  672Data:    08/14/2000Ora:   05:13:02Utente:   NT AUTHORITY\SYSTEMComputer:  <nome computer>Descrizione:Richiesto ticket di autenticazione:   Nome utente:    <nome utente>   Nome area autenticazione fornito:  <nome area autenticazione>   ID utente: <nome area autenticazione>\<nome utente>   Nome servizio:  <nome servizio>   ID servizio:  <nome area autenticazione>\<nome servizio>   Opzioni ticket:    0x40810010   Codice risultato:    -   Tipo crittografia ticket:  0x17   Tipo preautenticazione:  2   Indirizzo client:   127.0.0.1

Rinnovato ticket Kerberos

Tipo evento:  Operazioni riusciteCausa evento:  ProtezioneCategoria evento:  Accesso account ID evento:   673Data:  08/14/2000Ora:  05:13:02Utente:  NT AUTHORITY\SYSTEMComputer:  <nome computer>Descrizione:Ticket di servizio concesso:   Nome utente:   <nome utente>   Dominio utente:  <nome dominio utente>   Nome servizio:  <nome computer>$   ID servizio:    <nome dominio utente>\<nome computer>$   Opzioni ticket:    0x40810010   Tipo crittografia ticket:  0x17   Indirizzo client:    127.0.0.1

Accesso dell'account

Tipo evento:  Operazioni riusciteCausa evento:  ProtezioneCategoria evento:  Accesso/fine sessioneID evento:  528Data:  08/14/2000Ora:  05:13:02Utente:  <nome dominio utente>\<nome utente>Computer:  <nome computer>Descrizione:Accesso alla rete riuscito:   Nome utente: <nome utente>   Dominio:  <nome dominio>   ID accesso:  (0x0,0x1CBC6A)   Tipo accesso:  5   Processo di accesso:  Advapi     Pacchetto di autenticazione:  Negoziazione   Nome workstation:  <nome computer>

Avvio elaborazione servizio

Tipo evento:  Operazioni riusciteCausa evento:  ProtezioneCategoria evento:  Analisi dettagliataID evento:  592Data:  08/14/2000Ora:  05:13:02Utente:  NT AUTHORITY\SYSTEMComputer:  <nome computer>Descrizione:È stato creato un nuovo processo:   Nuovo ID del processo:  2064   Nome del file immagine:  C:\WINDOWS\system32\llssrv.exe   ID del processo creatore:  264   Nome utente:  <nome computer>$   Dominio:  <nome dominio>   ID accesso: (0x0,0x3E7)

Account che ha avviato il servizio connesso

Tipo evento:  Operazioni riusciteCausa evento:  ProtezioneCategoria evento:  Analisi dettagliata ID evento: 600Data:  08/14/2000Ora: 05:13:02Utente:  NT AUTHORITY\SYSTEMComputer:  <nome computer>Descrizione:A un processo è stato assegnato un token primario.    ID processo:  2064   Nome file immagine:  C:\WINDOWS\system32\llssrv.exe   Nome utente:  <nome utente>   Dominio:  <nome dominio>   ID accesso: (0x0,0x1CBC6A)
Proprietà

ID articolo: 274176 - Ultima revisione: 10/03/2001 15:49:00 - Revisione: 1.0

  • Microsoft Windows XP Professional Edition
  • kbinfo kbtool KB274176
Feedback